Partager via

En-têtes de messages anti-courrier indésirable dans les organisations cloud

Conseil

Saviez-vous que vous pouvez essayer gratuitement les fonctionnalités de Microsoft Defender pour Office 365 Plan 2 ? Utilisez la version d’évaluation Defender for Office 365 de 90 jours sur le hub d’essais du portail Microsoft Defender. Découvrez qui peut s’inscrire et les conditions d’essai sur Try Microsoft Defender pour Office 365.

Dans toutes les organisations disposant de boîtes aux lettres cloud, Microsoft 365 analyse tous les messages entrants à la recherche de courrier indésirable, de programmes malveillants et d’autres menaces. Les résultats de ces analyses sont ajoutés aux champs d’en-tête suivants dans les messages :

  • X-Forefront-Antispam-Report : contient des informations sur le message et sur la manière dont il a été traité.
  • X-Microsoft-Antispam : contient des informations supplémentaires sur le courrier en nombre et le hameçonnage.
  • Authentication-results : contient des informations sur les résultats de l’authentification par e-mail, notamment SPF (Sender Policy Framework), DKIM (Domainkeys Identified Mail) et DMARC (Domain-based Message Authentication, Reporting, and Conformance).

Cet article décrit les fonctionnalités disponibles dans ces champs d’en-tête.

Pour plus d’informations sur le mode d’affichage de l’en-tête d’un e-mail dans divers clients de messagerie, consultez Afficher les en-têtes de messages Internet dans Outlook.

Conseil

Vous pouvez copier et coller le contenu de l'en-tête d’un message dans l'analyseur d'en-têtes de message. Cet outil permet d’analyser les en-têtes dans un format plus lisible.

Champs d’en-tête de message X-Forefront-Antispam-Report

Une fois que vous avez les informations d’en-tête du message, recherchez l’en-tête de X-Forefront-Antispam-Report. Cet en-tête comporte plusieurs paires champ/valeur séparées par des points-virgules (;). Par exemple :

...CTRY:;LANG:hr;SCL:1;SRV:;IPV:NLI;SFV:NSPM;PTR:;SFTY:;...

Les champs et valeurs individuels sont décrits dans le tableau suivant.

Remarque

L’en-tête X-Forefront-Antispam-Report contient de nombreux champs et valeurs d’en-tête différents. Les champs qui ne sont pas décrits dans le tableau sont exclusivement utilisés par l’équipe Microsoft de lutte contre les courriers indésirables à des fins de diagnostic.

Champ Description
ARC Le protocole Authenticated Received Chain (ARC) contient les champs suivants :
  • AAR : enregistre le contenu de l'en-tête Authentication-Results à partir de DMARC.
  • AMS : inclut les signature de chiffrement du message.
  • AS : inclut les signature de chiffrement des en-têtes du message. Cet en-tête contient une balise de chaîne de validation appelée "cv=" incluant le résultat de la chaîne de validation en tant que aucun, succès ou échec.
CAT: Catégorie de stratégie de menace appliquée au message :
  • AMP : anti-programme malveillant
  • BIMP: Emprunt d’identité de marque*
  • BULK : courrier en nombre
  • DIMP: emprunt d’identité de domaine*
  • FTBP: Filtre des pièces jointes courantes anti-programme malveillant
  • GIMP: emprunt d’identité d’intelligence de boîte aux lettres*
  • HPHSH ou HPHISH: hameçonnage à haut niveau de confiance
  • HSPM : courrier indésirable à probabilité élevée
  • INTOS: hameçonnage Intra-Organization
  • MALW : programme malveillant
  • OSPM :courrier indésirable sortant
  • PHSH : hameçonnage
  • SAP: Pièces jointes sécurisées*
  • SPM : courrier indésirable
  • SPOOF : erreur de dépassement de données
  • UIMP: emprunt d’identité d’utilisateur*

*Defender for Office 365 uniquement.

Plusieurs formes de protection et plusieurs analyses de détection peuvent marquer un message entrant. Les stratégies sont appliquées dans un ordre de priorité, et la stratégie avec la priorité la plus élevée est appliquée en premier. Pour plus d’informations, voir Quelle stratégie s’applique lorsque plusieurs méthodes de protection et analyses de détection s'exécutent dans votre courrier électronique.
CIP:[IP address] Adresse IP de connexion. Vous pouvez utiliser cette adresse IP dans la liste d'adresses IP autorisées ou dans la liste d’adresses IP bloquées. Pour plus d’informations, consultez Configuration du filtrage des connexions.
CTRY Pays/région source déterminé par l’adresse IP de connexion, qui peut ne pas être identique à l’adresse IP d’envoi d’origine.
DIR Directionnalité du message :
  • INB: message entrant.
  • OUT: message sortant.
  • INT: message interne.
H:[helostring] Chaîne HELO ou EHLO du serveur de courrier de connexion.
IPV:CAL Le message a ignoré le filtrage du courrier indésirable, car l’adresse IP source figure dans la liste d’adresses IP autorisées. Pour plus d’informations, consultez Configuration du filtrage des connexions.
IPV:NLI L’adresse IP n’a été trouvée dans aucune liste de réputation IP.
LANG Langue dans laquelle le message a été écrit tel que spécifié par le code du pays (par exemple, ru_RU pour le russe).
PTR:[ReverseDNS] L’enregistrement PTR (également connu sous le nom de recherche DNS inverse) de l’adresse IP source.
SCL Seuil de niveau (SCL) du message. Plus cette valeur est élevée, plus il est probable que le message est un courrier indésirable. Pour plus d’informations, consultez Seuil de probabilité de courrier indésirable (SCL).
SFTY Le message a été identifié comme hameçonnage et est également marqué avec l’une des valeurs suivantes :
  • 9.19 : Emprunt d’identité de domaine. Le domaine d’envoi tente d’emprunter l’identité d’un domaine protégé. Le conseil de sécurité pour l’emprunt d’identité de domaine est ajouté au message (si l’emprunt d’identité de domaine est activé).
  • 9.20 : Emprunt d’identité d’un utilisateur. L’utilisateur expéditeur tente d’emprunter l’identité d’un utilisateur dans le organization du destinataire ou un utilisateur protégé spécifié dans une stratégie anti-hameçonnage dans Microsoft Defender pour Office 365. Le conseil de sécurité pour l’emprunt d’identité d’utilisateur est ajouté au message (si l’emprunt d’identité d’utilisateur est activé).
  • 9.25 : premier conseil de sécurité de contact. Cette valeur peut être une indication d’un message suspect ou d’hameçonnage. Pour plus d’informations, consultez Premier conseil de sécurité de contact.
SFV:BLK Le filtrage a été ignoré et le message a été bloqué, car il a été envoyé à partir d’une adresse figurant dans la liste des expéditeurs bloqués d’un utilisateur.

Pour plus d’informations sur la façon dont les administrateurs peuvent gérer la liste des expéditeurs bloqués d’un utilisateur, consultez Configurer les paramètres de courrier indésirable sur les boîtes aux lettres cloud.
SFV:NSPM Le filtrage du courrier indésirable a marqué le message comme non-courrier indésirable et le message a été envoyé aux destinataires prévus.
SFV:SFE Le filtrage a été ignoré et le message a été autorisé, car il a été envoyé à partir d’une adresse figurant dans la liste des expéditeurs approuvés d’un utilisateur.

Pour plus d’informations sur la façon dont les administrateurs peuvent gérer la liste des expéditeurs approuvés d’un utilisateur, consultez Configurer les paramètres de courrier indésirable sur les boîtes aux lettres cloud.
SFV:SKA Le message n’a pas subit de filtrage du courrier indésirable et a été dirigé vers la boîte de réception, car l’expéditeur fait partie de la liste des expéditeurs autorisés ou de celle des domaines autorisés dans une stratégie anti-courrier indésirable. Pour plus d’informations, consultez Configurer les stratégies anti-courrier indésirable.
SFV:SKB Le message a été marqué comme courrier indésirable, car il correspondait à un expéditeur de la liste des expéditeurs bloqués ou de celle des domaines bloqués dans une stratégie anti-courrier indésirable. Pour plus d’informations, consultez Configurer les stratégies anti-courrier indésirable.
SFV:SKN Le message a été marqué comme non-courrier indésirable avant le traitement par filtrage du courrier indésirable. Par exemple, le message a été marqué comme SCL de -1 ou contournement le filtrage du courrier indésirable par une règle de flux de courrier.
SFV:SKQ Le message a été libéré de la quarantaine et envoyé aux destinataires appropriés.
SFV:SKS Le message a été marqué comme courrier indésirable avant le traitement par filtrage du courrier indésirable. Par exemple, le message a été marqué comme SCL de 5 à 9 par une règle de flux de courrier.
SFV:SPM Le message a été marqué comme courrier indésirable par le filtrage du courrier indésirable.
SRV:BULK Le message a été identifié comme courrier en bloc par le filtrage du courrier indésirable et le seuil de niveau de réclamation en bloc (BCL). Lorsque le paramètre MarkAsSpamBulkMail est On (il est activé par défaut), un message électronique en bloc est marqué comme courrier indésirable (SCL 6). Pour plus d’informations, consultez Configurer les stratégies anti-courrier indésirable.
X-CustomSpam: [ASFOption] Le message correspondait à une option avancée de filtrage de courrier indésirable (ASF). Pour voir la valeur d’en-tête X pour chaque paramètre ASF, consultez Paramètres du filtre anti-courrier indésirable avancé (ASF) dans les stratégies anti-courrier indésirable.

Remarque : ASF ajoute X-CustomSpam: des champs d’en-tête X aux messages après que les règles de flux de messagerie Exchange (également appelées règles de transport) traitent les messages. Vous ne pouvez pas utiliser de règles de flux de messagerie pour identifier et agir sur les messages filtrés par ASF.

Champs d’en-tête de message X-Microsoft-Antispam

Le tableau suivant décrit certains champs utiles de l’en-tête X-Microsoft-Antispam des messages. Les autres champs de cet en-tête sont exclusivement utilisés par l’équipe Microsoft de lutte contre les courriers indésirables à des fins de diagnostic.

Field Description
BCL Niveau de réclamation en bloc (BCL) du message. Un niveau BCL supérieur indique qu’un courrier en nombre est susceptible de générer des plaintes (et par conséquent plus susceptible d’être du courrier indésirable). Pour plus d’informations, consultez Niveau de réclamation en bloc (BCL).

En-tête de message Authentication-results

Les résultats des vérifications d’authentification de la messagerie électronique pour SPF, DKIM et DMARC sont enregistrés (marqués) dans l’en-tête de message Authentication-Results dans les messages entrants. L’en-tête Authentication-results est défini dans RFC 7001.

La liste suivante décrit le texte ajouté à l’en-tête Authentication-Results pour chaque type d’authentification par e-mail case activée :

  • SPF utilise la syntaxe suivante :

    spf=<pass (IP address)|fail (IP address)|softfail (reason)|neutral|none|temperror|permerror> smtp.mailfrom=<domain>

    Par exemple :

    spf=pass (sender IP is 192.168.0.1) smtp.mailfrom=contoso.com

spf=fail (sender IP is 127.0.0.1) smtp.mailfrom=contoso.com

  • DKIM utilise la syntaxe suivante :

    dkim=<pass|fail (reason)|none> header.d=<domain>

    Par exemple :

    dkim=pass (signature was verified) header.d=contoso.com

dkim=fail (body hash did not verify) header.d=contoso.com

  • DMARC utilise la syntaxe suivante :

    dmarc=<pass|fail|bestguesspass|none> action=<permerror|temperror|oreject|pct.quarantine|pct.reject> header.from=<domain>

    Par exemple :

    dmarc=pass action=none header.from=contoso.com

dmarc=bestguesspass action=none header.from=contoso.com

dmarc=fail action=none header.from=contoso.com

dmarc=fail action=oreject header.from=contoso.com

Champs d’en-tête de message Authentication-Results

Le tableau ci-dessous décrit les champs et les valeurs possibles pour chaque vérification d’authentification de messagerie électronique.

Champ Description
action Indique l’action effectuée par le filtre de courrier indésirable en fonction des résultats de la vérification DMARC. Par exemple :
  • pct.quarantine: indique qu’un pourcentage inférieur à 100 % des messages qui ne réussissent pas DMARC sont remis de toute façon. Ce résultat signifie que le message a échoué DMARC et que la stratégie DMARC a été définie sur p=quarantine. Toutefois, le champ pct n’a pas été défini sur 100 %, et le système a déterminé de façon aléatoire de ne pas appliquer l’action DMARC conformément à la stratégie DMARC du domaine spécifié.
  • pct.reject: indique qu’un pourcentage inférieur à 100 % des messages qui ne réussissent pas DMARC sont remis de toute façon. Ce résultat signifie que le message a échoué DMARC et que la stratégie DMARC a été définie sur p=reject. Toutefois, le champ pct n’a pas été défini sur 100 % et le système a déterminé de manière aléatoire de ne pas appliquer l’action DMARC conformément à la stratégie DMARC du domaine spécifié.
  • permerror: une erreur permanente s’est produite lors de l’évaluation DMARC, telle que la rencontre d’un enregistrement TXT DMARC incorrectement formé dans DNS. Renvoyer ce message n’est pas susceptible d’avoir un résultat différent. Au lieu de cela, vous devrez peut-être contacter le propriétaire du domaine pour résoudre le problème.
  • temperror: une erreur temporaire s’est produite lors de l’évaluation DMARC. Si l’expéditeur envoie le message ultérieurement, il peut être traité correctement.
compauth Résultat de l’authentification composite. Microsoft 365 combine plusieurs types d’authentification (SPF, DKIM et DMARC) et d’autres parties du message pour déterminer si le message est authentifié. Utilise le domaine From: comme base d’évaluation. Remarque : En dépit d’un compauth échec, le message peut toujours être autorisé si d’autres évaluations n’indiquent pas une nature suspecte.
dkim Décrit les résultats de la vérification DKIM du message. Les valeurs admises sont les suivantes :
  • pass : indique que le message a satisfait à la vérification DKIM.
  • fail (raison) : indique que le message ne satisfait pas à la vérification DKIM et pourquoi. Par exemple, si le message n’a pas été signé ou si la signature n’a pas été vérifiée.
  • none : indique que le message n’a pas été signé. Ce résultat peut ou non indiquer que le domaine a un enregistrement DKIM ou que l’enregistrement DKIM n’est pas évalué à un résultat.
dmarc Décrit les résultats de la vérification DMARC pour le message. Les valeurs admises sont les suivantes :
  • pass : indique que le message a satisfait à la vérification de DMARC.
  • fail : indique que le message a échoué à la vérification DMARC.
  • bestguesspass : indique qu’il n’existe aucun enregistrement TXT DMARC pour le domaine. Si le domaine avait un enregistrement TXT DMARC, la case activée DMARC pour le message est passée.
  • none : indique qu’il n’existe aucun enregistrement TXT DMARC pour le domaine expéditeur dans le système DNS.
header.d Domaine identifié dans la signature DKIM, le cas échéant. Ce domaine est interrogé pour la clé publique.
header.from Domaine de l’adresse De dans l’en-tête du message électronique (également appelé 5322.From adresse ou expéditeur P2). Le destinataire voit l’adresse de l’expéditeur dans les clients de courrier.
reason Raison pour laquelle l’authentification composite a réussi ou échoué. La valeur est un code à trois chiffres. Pour plus d’informations, consultez la section Codes de raison de l’authentification composite .
smtp.mailfrom Domaine de l’adresse MAIL FROM (également appelée 5321.MailFrom adresse, expéditeur P1 ou expéditeur d’enveloppe). Cette adresse e-mail est utilisée pour les rapports de non-remise (également appelés NDR ou messages de rebond).
spf Décrit les résultats de la case activée SPF pour le message (si la source du message est incluse dans l’enregistrement SPF pour le domaine). Les valeurs admises sont les suivantes :
  • pass (IP address): la source du message est incluse dans l’enregistrement SPF du domaine. La source est autorisée à envoyer ou relayer des e-mails pour le domaine.
  • fail (IP address): également appelé échec dur. La source du message n’est pas incluse dans l’enregistrement SPF du domaine, et le domaine indique au système de messagerie de destination de rejeter le message (-all).
  • softfail (reason): également appelé échec logiciel. La source du message n’est pas incluse dans l’enregistrement SPF du domaine, et le domaine indique au système de messagerie de destination d’accepter et de marquer le message (~all).
  • neutral: la source du message n’est pas incluse dans l’enregistrement SPF du domaine, et le domaine n’offre aucune instruction spécifique à la destination pour le message (?all).
  • none : le domaine ne possède pas d’enregistrement SPF ou l’enregistrement SPF ne correspond à aucun résultat.
  • temperror: une erreur temporaire s’est produite. Par exemple, une erreur DNS. Cette même vérification peut être effectuée ultérieurement.
  • permerror: une erreur permanente s’est produite. Par exemple, un enregistrement SPF mal mis en forme dans le domaine.

Codes de raison de l’authentification composite

Le tableau suivant décrit les codes à trois chiffres reason utilisés avec compauth les résultats.

Conseil

Pour plus d’informations sur les résultats de l’authentification par e-mail et sur la façon de corriger les échecs, consultez le Guide des opérations de sécurité pour l’authentification par e-mail dans Microsoft 365.

Code de raison Description
000 Échec de l’authentification explicite du message (compauth=fail). Le message a reçu un échec DMARC et l’action de stratégie DMARC est p=quarantine ou p=reject.
001 Échec de l’authentification implicite du message (compauth=fail). Le domaine d’envoi n’avait pas d’enregistrements d’authentification par e-mail publiés ou, si c’était le cas, il avait une stratégie d’échec plus faible (SPF ~all ou ?all, ou une stratégie DMARC de p=none).
002 Le organization a une stratégie pour la paire expéditeur/domaine qui est explicitement interdite d’envoyer des e-mails usurpés. Un administrateur configure manuellement ce paramètre.
010 Le message a échoué, l’action de stratégie DMARC est p=reject ou p=quarantine, et le domaine d’envoi est l’un des domaines acceptés de votre organization (usurpation d’identité ou d’identité intra-organisation).
1xx Le message a passé l’authentification explicite ou implicite (compauth=pass).
  100 SPF passé ou DKIM passé et les domaines dans les adresses MAIL FROM et From sont alignés.
  101 Le message était DKIM signé par le domaine utilisé dans l’adresse De.
  102 Les domaines d’adresse MAIL FROM et From ont été alignés, et SPF a été passé.
  103 Le domaine d’adresse From s’aligne sur l’enregistrement DNS PTR (recherche inversée) associé à l’adresse IP source
  104 L’enregistrement PTR DNS (recherche inversée) associé à l’adresse IP source s’aligne sur le domaine d’adresse De.
  108 DKIM a échoué en raison d’une modification du corps du message attribuée à des sauts légitimes précédents. Par exemple, le corps du message a été modifié dans l’environnement de messagerie local de l’organization.
  109 Bien que le domaine de l’expéditeur n’ait pas d’enregistrement DMARC, le message est de toute façon transmis.
  111 Malgré une erreur temporaire DMARC ou une erreur permanente, le domaine SPF ou DKIM s’aligne sur le domaine d’adresse De.
  112 Un délai d’expiration DNS a empêché la récupération de l’enregistrement DMARC.
  115 Le message a été envoyé à partir d’un organization Microsoft 365 où le domaine d’adresse From est configuré en tant que domaine accepté.
  116 L’enregistrement MX pour le domaine d’adresse From s’aligne sur l’enregistrement PTR (recherche inversée) de l’adresse IP de connexion.
  130 Le résultat arc d’un scellant ARC approuvé a surmené la défaillance DMARC.
2xx Authentification implicite du message passé de la base de données (compauth=softpass).
  201 L’enregistrement PTR pour le domaine d’adresse De s’aligne sur le sous-réseau de l’enregistrement PTR pour l’adresse IP de connexion.
  202 Le domaine d’adresse From s’aligne sur le domaine de l’enregistrement PTR pour l’adresse IP de connexion.
3xx L’authentification composite du message n’a pas été vérifiée (compauth=none).
4xx Le message a contourné l’authentification composite (compauth=none).
501 DMARC n’a pas été appliqué. Le message est un rapport de non-remise valide (également appelé notification d’échec de remise ou message de rebond), et le contact entre l’expéditeur et le destinataire est établi précédemment.
502 DMARC n’a pas été appliqué. Le message est une remise valide pour un message envoyé à partir de cette organization.
6xx Échec de l’authentification implicite par e-mail du message (compauth=fail).
  601 Le domaine d’envoi est un domaine accepté dans votre organization (usurpation d’identité ou d’usurpation intra-organisation).
7xx Le message a passé l’authentification implicite (compauth=pass).
  701-704 DMARC n’a pas été appliqué, car cette organization a un historique de réception de messages légitimes à partir de l’infrastructure d’envoi.
9xx Le message a contourné l’authentification composite (compauth=none).
  905 DMARC n’a pas été appliqué en raison d’un routage complexe. Par exemple, les messages Internet sont routés via un environnement Exchange local ou un service non-Microsoft avant d’atteindre Microsoft 365.
  • Last updated on